top of page

勒索軟體再掀風暴:2024年攻擊激增,衝擊再創高峰

攻擊者捲土重來,勒索軟體攻擊在2024年第二季度大幅反彈

經過2023年底和2024年初的短暫低潮,勒索軟體攻擊在今年第二季度再度迅速增長。根據最新的數據顯示,2024年第二季度勒索軟體攻擊事件高達1,310起,較第一季度增長36%。這是勒索軟體運營者在單季度內聲稱攻擊事件數量的歷史第二高紀錄,僅次於2023年第三季度創下的1,488起。

這一現象背後不僅是攻擊者策略的成熟,也是之前受挫的攻擊團體迅速恢復實力,特別是LockBit的全面復甦。



圖1:勒索軟體運營者聲稱的攻擊次數,2023-2024。
圖1:勒索軟體運營者聲稱的攻擊次數,2023-2024。

LockBit捲土重來:攻擊數量創新高

LockBit,一直以來是網絡犯罪界最具威脅的勒索軟體之一,隨著2024年2月國際執法行動的衝擊,曾短暫陷入低迷。然而,在今年第二季度,LockBit迅速回歸,並創下353起攻擊事件的新高,超過了該集團以往任何時期的活動紀錄。

LockBit由Syrphid網絡犯罪集團運營,憑藉其先進的技術手段和持續的活動,成為勒索軟體世界中的「常青樹」。儘管一度面臨國際執法的壓力,該組織的復原能力不容小覷。


圖2:LockBit勒索軟體的攻擊次數,2023-2024。
圖2:LockBit勒索軟體的攻擊次數,2023-2024。

新勢力崛起:填補Noberus的空缺

Noberus這個曾經與LockBit齊名的勒索軟體運營商,於2024年3月因內部分歧和執法行動而宣告終結。這一空缺很快被新一代勒索軟體運營商填補,當中尤以Qilin(又稱Agenda)為代表。

Qilin自2022年底崛起,以勒索軟體即服務(RaaS)模式運營,其攻擊次數在2024年第二季度增加了47%,達到97起。另一個名為Play的團體也不遑多讓,其攻擊次數在本季度增長了27%,達到89起。

最值得注意的是RansomHub的迅速崛起。這個新面孔僅於2024年2月首次亮相,但其活動在第二季度暴增,攻擊次數從第一季度的23起猛增至75起,成為僅次於Qilin、Play等主力團體的第四大勒索軟體家族。


圖3:2024年第二季度最活躍的勒索軟體運營商。
圖3:2024年第二季度最活躍的勒索軟體運營商。

數據之間的差異:公開聲稱與實際調查的對比

值得注意的是,勒索軟體運營者公開聲稱的攻擊次數與實際安全公司調查到的攻擊活動之間,存在顯著差異。例如,LockBit在公開報告中佔27%的攻擊,但Symantec的調查顯示其實際佔比僅19%。

另一方面,Play在Symantec的調查中佔據19%的攻擊比例,但在公開聲稱中僅佔7%。這一數據差異或許能揭示不同團體在實際操作中的成功率。對於Symantec來說,能夠確定某次攻擊與某個特定勒索軟體家族有關,通常意味著該攻擊已經進展到攻擊者嘗試部署勒索軟體的階段。因此,Play的攻擊似乎更有可能達到最終的勒索階段。


圖4:公開聲稱的攻擊比例與Symantec調查的勒索軟體攻擊比例,2024年第二季度。
圖4:公開聲稱的攻擊比例與Symantec調查的勒索軟體攻擊比例,2024年第二季度。

勒索軟體攻擊的途徑:漏洞與弱點成為焦點

隨著攻擊事件的增加,攻擊者進入系統的途徑也逐漸明朗。許多攻擊利用了已知漏洞,特別是在公共應用程序中的漏洞。例如,Symantec在2024年7月發現,與Snakefly網絡犯罪集團有關的攻擊者正在積極掃描存在CVE-2024-4040漏洞的CrushFTP伺服器,並利用這些漏洞執行遠程命令,下載惡意軟體到受感染的機器中。


Snakefly以其善於利用新修補漏洞及零日漏洞聞名,並常常將其攻擊升級為勒索軟體Cl0p的部署。儘管CVE-2024-4040已於4月修補,但未修補的系統仍是攻擊者的主要目標。

此外,攻擊者也經常利用弱憑證的遠端桌面協議(RDP)伺服器,透過網絡的薄弱分段進行橫向移動。許多這類攻擊都缺乏多重身份驗證(MFA),使得弱憑證變得極其脆弱。


持續的威脅與防護對策

2024年第二季度攻擊的激增顯示,攻擊者的勢頭再度增強。儘管像Noberus這樣的高知名度勒索軟體團體已經退出市場,但技術嫻熟的攻擊者並未退縮,而是迅速轉向其他活躍的犯罪組織。


隨著勒索軟體攻擊持續升級,企業和個人必須更加警惕,並採取有效的防護措施。為獲取最新的保護指南,請參考Symantec的保護公告。




原文出處 Symatnec Enterprise Blogs

Comments


bottom of page